一种电子文档安全管理系统及方法技术方案

技术编号:9597039 阅读:171 留言:0更新日期:2014-01-23 02:28
一种电子文档安全管理系统及方法,包括驱动层透明加解密模块、应用层安全控制及透明加解密模块、智能文件和进程特征识别模块、文件外发离线控制模块、文件屏幕水印及打印水印控制模块、安全策略管理模块、密钥管理模块;系统核心技术是在客户端的驱动管理,位于Windows操作系统的核心态运行,被I/O管理器为满足系统对文件系统的需求而调用;系统的数据加密平台将接管整个Windows操作系统的文件系统,负责为文件系统提供实时地透明加解密数据的服务。本发明专利技术提供一种电子文档安全管理系统及方法,通过改进电子文档安全保护措施,引入透明加解密方法,实现电子文档离线高的安全性和用户友好性。

【技术实现步骤摘要】
【专利摘要】,包括驱动层透明加解密模块、应用层安全控制及透明加解密模块、智能文件和进程特征识别模块、文件外发离线控制模块、文件屏幕水印及打印水印控制模块、安全策略管理模块、密钥管理模块;系统核心技术是在客户端的驱动管理,位于Windows操作系统的核心态运行,被I/O管理器为满足系统对文件系统的需求而调用;系统的数据加密平台将接管整个Windows操作系统的文件系统,负责为文件系统提供实时地透明加解密数据的服务。本专利技术提供,通过改进电子文档安全保护措施,引入透明加解密方法,实现电子文档离线高的安全性和用户友好性。【专利说明】【
】本专利技术涉及数字内容安全
,具体涉及。【
技术介绍
】 随着现代技术日新月异的发展给社会生活的各个方面带来了许多根本性的变革。随着计算机技术和办公自动化技术的发展,电子文档也应运而生。所谓电子文档是指在数字设备及环境中生成,以数码形式存贮于磁带、磁盘、光盘等载体,依赖计算机等数字设备阅读、处理、并可在通信网络上传送的文件和档案。电子文档的问世使文件和档案从“有形”走向“无形”,给档案工作带来生机和活力,但同时也向档案工作提出了新的挑战。其中,电子文档安全和保密问题是档案工作者所面临的一个新课题。电子文档的管理是一门集计算机科学与档案学于一体的综合学科,档案管理人员在具备档案专业等基础知识的同时,必须具备现代通信、电子计算机应用及网络技术、设备维护等知识。电子文档的创立打破了档案室孤立的模式。各有关环节在网络上形成了一个有机的整体,因此文档工作人员必须团结合作,使电子文档在整个生命周期受到严密的控制和管理,使信息得到安全地保护,并利用网络这一广阔的信息平台汲取国内外的最新成果,不断实践、创新,提高科研能力,设计出更合理、更科学、更安全的电子档案系统。电子档案在利用中的保密和安全十分重要,电子文件入库转化为电子档案后,一律不得外借,其利用必须严格依照档案保密法规的规定,对电子档案利用者要实行权限控制,设置分级查询权限。防止无关人员对电子档案系统的非法访问,防止利用过程中的泄密和损伤信息。同时,电子文档管理系统应对利用的全过程进行有效的跟踪监控,自动进行相关纪录,作为对利用工作查证的依据。系统还应有较强的容错能力,避免由于错误操作所带来的不可挽回的损失。身份认证是通信双方在实质数据传输之前进行审查和证实对方身份的操作,是给非法入侵者设置的防线。访问控制技术是对用户访问计算机信息系统的权限进行控制的技术。它可以在方便一般用户共享信息资源的同时确保涉密信息的安全,是防范非法入侵者窃取涉密信息的又一道防线。加密技术可以确保涉密电子文件内容的非公开性,是保证电子文件机密性的重要方法,其目的是采取某种数字方法经涉密信息伪装起来,使非法入侵者无法了解涉密信息真实含义。总之,电子文档的安全保密涉及到诸多方面因素。它从管理和技术、软件和硬件等多方面提出了更多的要求。档案工作者应在工作实践中不断总结经验教训,使电子文档管理工作逐步走向科学化、制度化,在统一、高效、安全的环境下运作,为公众服务。中国专利技术专利200910083158.9公开了一种电子文档安全保障系统及方法,通过建立电子文档安全保障系统,实现安全验证、权限控制和日志及文档分发。但,未对电子文档进行透明加解密,电子文档内容存在被复制、篡改等安全漏洞。中国专利技术专利201110217836.3公开了一种电子文档安全管理系统,中国专利技术专利20121004114.6公开了一种基于多重安全保护机制的电子文档安全分发方法,中国专利技术专利201210411606.5公开了一种基于密级标识的电子文档访问控制方法,中国专利技术专利201210299203.6公开了一种电子文档多重加密及分级管理方法,以上技术实现了安全认证、权限控制和电子文档非对称加解密。但,加解密过程不是透明的,用户需要对文档进行手动加、解密过程,给用户造成不便。中国专利技术专利201210154777.4公开了一种在线完成文档分离和还原的系统和方法,实现了安全认证、权限控制和电子文档非对称加解密。但,加解密过程不是透明的,需要“分离存储区”的存在,“分离存储区”的安全性成为整个电子文档安全性的薄弱环节。综上,现有技术不管是独立采用哪种方法都存在不同的缺陷,电子文档的安全性和用户操作的易用性无法得到满足。有鉴于此,本专利技术人针对现有技术的缺陷深入研究,遂有本案产生。【
技术实现思路
】本专利技术所要解决的技术问题是提供,通过改进电子文档安全保护措施,引入透明加解密方法,实现电子文档离线高的安全性和用户友好性。 本专利技术是这样实现的:一种电子文档安全管理系统,其特征在于:包括驱动层透明加解密模块、应用层安全控制及透明加解密模块、智能文件和进程特征识别模块、文件外发离线控制模块、文件屏幕水印及打印水印控制模块、安全策略管理模块、密钥管理模块;所述驱动层透明加解密模块:在网络层驱动判断策略下发的加密的目标地址,当用户访问某个应用系统时由驱动进行判断是否进行加密,在客户端对浏览器进行监测,一旦文件另保存或下载时则开始进行加密;对于文件采用写入磁盘多少加密多少、从磁盘读多少解密多少的加解密策略;当从本地递交文档上传到应用系统服务器时,由客户端进行判断和监测将文件解密上传到服务器,保障服务器明文存储;所述应用层安全控制及透明加解密模块:使用Windows的应用程序接口拦截技术实现对文件操作的拦截与监控,能够拦截复制、保存以及删除操作,同时根据不同要求对不同的操作进行拦截与放行,根据文档密级、用户权限进行安全控制和透明加解密;采用动态DLL替换方式,系统采用替换并修改操作系统底层动态链接库的方式截取所有文件读写操作,并根据文档密级、用户权限进行安全控制和透明加解密;利用操作消息拦截技术,根据文档密级、用户权限对操作,包括保存、修改、复制、剪贴、黏贴、打印、截屏,进行安全控制和透明加解密;智能文件和进程特征识别模块:在操作系统内核根据文件内容来识别文件类型,并由此确认该文件是否加密文件,并且每一个加密文件加入文件身份信息,记录文件属性信息,操作系统内核对受控进程进行识别;文件外发离线控制模块:不限制外发文件的类型,支持所有的应用程序的外发管理;对于密级度高的文档,控制外发文档在哪台计算机上使用多长时间,使用多少次;对于密级度低的文档,仅使用用户名和密码加以控制;对于外发文件的编辑、拷贝和另存进行控制,可选择性控制外部用户在访问加密文档时需要连接服务器进行强制身份认证,可随时收回用户的阅读权限;文件屏幕水印及打印水印控制模块:文档在被打开浏览编辑过程,系统自动在屏幕或打印内容中增加水印信息,水印信息包括用户信息、时间信息,用于用户在打开文档后拍照或打印文档内容非法扩散到外部时作为追查非法扩散的责任人;安全策略管理模块:负责对用户访问目标地址、文档密级、用户权限、用户操作控制、水印控制策略进行统一管理和下发,其他模块根据下发的安全策略进行相应的安全控制和透明加解密;密钥管理模块:负责对称、非对称密钥的生成、安全分发、安全存储、安全销毁全生命周期管理,为加解密模块提供所需的密钥。一种电子文档安全管理方法,包括下载文件、文件离线使用、上传文件三个步骤;所述下载文件,具体包括如下步骤:步骤101:开始本文档来自技高网
...

【技术保护点】
一种电子文档安全管理系统,其特征在于:包括驱动层透明加解密模块、应用层安全控制及透明加解密模块、智能文件和进程特征识别模块、文件外发离线控制模块、文件屏幕水印及打印水印控制模块、安全策略管理模块、密钥管理模块;所述驱动层透明加解密模块:在网络层驱动判断策略下发的加密的目标地址,当用户访问某个应用系统时由驱动进行判断是否进行加密,在客户端对浏览器进行监测,一旦文件另保存或下载时则开始进行加密;对于文件采用写入磁盘多少加密多少、从磁盘读多少解密多少的加解密策略;当从本地递交文档上传到应用系统服务器时,由客户端进行判断和监测将文件解密上传到服务器,保障服务器明文存储;所述应用层安全控制及透明加解密模块:使用Windows的应用程序接口拦截技术实现对文件操作的拦截与监控,能够拦截复制、保存以及删除操作,同时根据不同要求对不同的操作进行拦截与放行,根据文档密级、用户权限进行安全控制和透明加解密;采用动态DLL替换方式,系统采用替换并修改操作系统底层动态链接库的方式截取所有文件读写操作,并根据文档密级、用户权限进行安全控制和透明加解密;利用操作消息拦截技术,根据文档密级、用户权限对操作,包括保存、修改、复制、剪贴、黏贴、打印、截屏,进行安全控制和透明加解密;智能文件和进程特征识别模块:在操作系统内核根据文件内容来识别文件类型,并由此确认该文件是否加密文件,并且每一个加密文件加入文件身份信息,记录文件属性信息,操作系统内核对受控进程进行识别;文件外发离线控制模块:不限制外发文件的类型,支持所有的应用程序的外发管理;对于密级度高的文档,控制外发文档在哪台计算机上使用多长时间,使用多少次;对于密级度低的文档,仅使用用户名和密码加以控制;对于外发文件的编辑、拷贝和另存进行控制,可选择性控制外部用户在访问加密文档时需要连接服务器进行强制身份认证,可随时收回用户的阅读权限;文件屏幕水印及打印水印控制模块:文档在被打开浏览编辑过程,系统自动在屏幕或打印内容中增加水印信息,水印信息包括用户信息、时间信息,用于用户在打开文档后拍照或打印文档内容非法扩散到外部时作为追查非法扩散的责任人;安全策略管理模块:负责对用户访问目标地址、文档密级、用户权限、用户操作控制、水印控制策略进行统一管理和下发,其他模块根据下发的安全策略进行相应的安全控制和透明加解密;密钥管理模块:负责对称、非对称密钥的生成、安全分发、安全存储、安全销毁全生命周期管理,为加解密模块提供所需的密钥。...

【技术特征摘要】

【专利技术属性】
技术研发人员:倪时龙苏江文尤鹏南
申请(专利权)人:国家电网公司福建亿榕信息技术有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1